Что такое JWT, Access и Refresh токены. Разница между JWT и Сессиями. Bearer и виды авторизации.

Рет қаралды 8,710

QA Studio | Шаг за шагом к Junior QA

Күн бұрын

Пікірлер: 33

@Михаил-л8л6о 5 ай бұрын

Очень круто объясняешь, сложную информацию, простыми словами, огромный респект!

@iamanna773 Ай бұрын

Здравствуйте! Спасибо огромнейшее за такое комфортное объяснение и кучу полезной информации (теории и даже тренажер) Впервые встретила на столько доступную информацию на эту тему))

@DaryaBulat 4 ай бұрын

Теперь нужно отдельное видео про "Покемоны"! Спасибо огромное за такое понятное объяснение!

@petefedorov2955 3 ай бұрын

У Вас талант объяснять сложные вещи простым языком) огромное спасибо за Ваши лекции 🙏🏽

@le.onardo 4 ай бұрын

Одна из самых крутых показательных лекций, большое спасибо! 👏🔥

@ellealle5980 4 ай бұрын

Самое понятное объяснение про jwt, которое я когда либо встречала. Спасибо ☺️

@klimtro 4 ай бұрын

спасибо, Герман. классное познавательное видео

@edsatie4929 3 ай бұрын

Супер полезный урок! Благодарю!

@tretiakov7 Ай бұрын

А есть ссылочка на Миро со всеми подсказами? Очень красиво и структурировано выглядит

@vitorios384 4 ай бұрын

super poleznoe video!!!!!!

@Levchandr9 3 ай бұрын

Спсибо за ваши ролики очень хорошо обясняется и подскажите пожалуйста где можно посмотреть на miro который вы показываете ? очень интересно.

@nto-i7h 22 күн бұрын

Захеширлванный пароль можно получить обратно в исходный, если иметь доступ к секретному ключу, по которому произошло преобразование и знать какой тип алгоритма использовался для хеширования

@itstreams 5 күн бұрын

Криптографические хэш-функции намеренно разработаны так, чтобы быть необратимыми. Даже если вы знаете алгоритм хэширования и все связанные с ним параметры (например, соль), вы не сможете напрямую получить исходный пароль из его хэша.

@w84meBro 5 ай бұрын

13:16 вопрос - а если куки были украдены, в этом случае злоумышленник получается сможет авторизоваться. Как быть? Http only cookies спасет?

@MS-ks7zc 5 ай бұрын

Очень классное видео и для тестировщиков, но, пожалуйста, уберите фоновую музыку, очень мешает, особенно при ускоренном просмотре. 😢

@bbrother92 Ай бұрын

Не правда, что при jwt не надо лезть в базу - как вы валидировать подпись то будете?

@bbrother92 Ай бұрын

jwt не панацея

@romang3826 Ай бұрын

полезная нагрузка и хедеры jwt кодируется с помощью секретного ключа и сверяется с той подписью, что указана в присланом jwt. Если подписи совпали, значит токен 'настоящий' и тот сервис, что генерировал этот jwt тоже знал этот секретный ключ. При этом сам секретный ключ не нужно хранить в бд.

@pavelb5410 Ай бұрын

При использовании сессий можно дополнительно проверять user agent пользователя, и IP address, даже если каким то чудом угонят куки, то злоумышленник не сможет получить доступ к сайту никак, так как валидирабтся данные не только от сессионной куки, но и дополнительные данные ⚖️.

@Карина-ф3ш 4 ай бұрын

Здравствуйте! Эта информация предоставляется в рамках курса Тренажёр по API «Битва покемонов» с лекциями (степик)?

@qa.studio 4 ай бұрын

Нет. На степике мы работаем с покемонами. Там авторизация работает на API токенах. Там свои отдельные лекции

@Dev-kx2si 4 ай бұрын

Где лучше хранить access и refresh token? В localStorage или cookie и почему?

@qa.studio 4 ай бұрын

Не берусь за правду в последней инстанции, но выбрал бы куки с флагом HttpOnly habr.com/ru/articles/143259/

@vitaliyb6601 6 ай бұрын

Сколько стоит обучение.

@qa.studio 6 ай бұрын

Привет) от 29 тысяч. Подробно можно изучить на сайте школы: qa.studio/. Там-же есть кнопка «Написать» - так быстрее можно получить ответы, чем в комментариях ютуба

@helgaluytova8307 5 ай бұрын

Когда пошло объяснение на примерах, сразу захотела купить курс. Пошла смотреть по ссылке

@loy34-e7q 3 ай бұрын

В словарике неверное определение. Хеширование не один из способов шифрования. Это разные понятия. Хэширование обладает свойством односторонности и применяется для проверки. Шифрование же представляет двусторонний процесс преобразования данных с возможностью их расшифровки.

@qa.studio 3 ай бұрын

В словаре вот прямо дословно это-же и написано: buildin.ai/qa-studio/share/98067156-7170-41b5-ad6d-c125cc5c4aa8

@vladislove1337 4 ай бұрын

Вставлять этот "Bearer", а на самом бэкенде потом вырезать его, чтобы проверять токен. Верх идиотизма, не использовал эту дебильную приставку и не буду. Может она имеет какой то смысл, если по какой то причине у приложения множество способов авторизации, но если способ один - JWT, то нахрена тащить этот идиотский синтаксис со "схемой" мне не понятно.

@Андрей-ф5е6н 4 ай бұрын

А еще верх идиотизма разные методы, типа GET, POST, DELETE и т.д. использовать, т.к. потом приходится их по-разному обрабатывать. Проще везде один метод использовать, можно даже свой запилить, например, 'Q', чтобы трафик сэкономить и в логах будет компактно смотреться

@vladislove1337 4 ай бұрын

@@Андрей-ф5е6н не передергивай, методы get pust put update активно используются, в то время как большинство приложений используют какой то один метод аутентификации - либо сессии, либо jwt, и в большинстве случаев никакого смысла в "Bearer" перед токеном нет, ибо это слово просто банально вырезается без всяких проверок на тип аутентификации и берётся сам токен.